应用探讨——工业安全方案探讨

由于以太网技术的优越性，使其在工业领域的各个方面得到了广泛的应用，甚至被应用到现场总线技术上，但对于工业领域中的安全的问题也随之而来。毕竟，生产系统的开放通信和网络规模的不断增大带来的不仅是巨大的机遇同时也带来了高的风险。为了提高工业工厂全面的IT安全防止被攻击，需要采取相应的措施。西门子向客户提供全面的工业信息安全支持，包括产品、系统、解决方案，以及专业的咨询服务。
工业信息安全不是一个单纯的技术问题，而是一个从意识培养开始，涉及到管理、流程、架构、技术、产品等各方面的系统工程。目前，部署纵深防御是工业领域应对安全挑战的现实方法。工业信息安全是一个动态过程，需要在整个工业基础设施生命周期的各个阶段中持续实施，不断改进。
在此希望大家就如下方面进行讨论：
1、工业安全与办公 安全有什么不同？
2、工业安全应从那几方面考虑？
3、工业安全的如何实施？
4、您的项目是否考虑了安全，从哪些方面考虑？
希望大家在此进行热烈的讨论，提出自己对自动化行业未来的发展的必然趋势（工业安全）的观点。

点击此处查看发帖整理

活动奖励：
此次集中交流将持续至11月20日，其中所有精华帖作者将获得加倍精华奖励积分；最终所有有效留帖的网友将获得加倍发帖积分。更多积分带给您更多奖品兑换的自由。
对于有突出发言贡献的网友，还可以在当前的可兑换奖品中免费挑选200分（含）以下任一款奖品。
交流结束后也将专门整理重要内容，供广大网友分享参考。
预祝大家交流愉快，收获丰富！

很多企业中，信息管理层和现场控制层通过工业以太网连在一起，上下网段都使用以态网协议，可以互相访问，所以存在安全问题，既要防止来自外部的非法访问，也要防止内部网络的非法访问，才能对于保证企业信息安全、生产安全以及人员和设备的安全。

加密
专员管理
不接入城域网
系统定期备份

说实话，从来没有考虑这么多。可能是做得项目比较小的原因。
希望有经验的，多多发表点意见。
以前好多听说过远程访问用VPN的方式比较好，好像是因为VPN的加密方式有关。
细节的也不太了解。

一直关注此贴。

以前我以为安全的问题只是存在与办公网络。自动化网络是信息的孤岛根本不需要考虑安全。最近发生的一些事情，才认识到安全的问题不仅存在于办公网络中也存在于自动网络中。
说起安全的问题，那么我们先要回顾一下计算机网络安全，当计算机刚问世的时候，人们都不会谈论安全的问题。随着计算机技术不断发展，计算机由独立的主机变成网络结构。这时安全的问题也产生了。随着网络技术的发展，安全的问题就业伴随而来。也就有了今天众所周知的“黑客”，谈到“黑客”，人们普遍把它看作是贬义词，其实不然,“黑客”的本意是对计算机技术研究非常深得人，甚至到了一种狂热的地步的人。他们在研究的计算机技术的过程中发现了计算机系统的漏洞，为了证明自己，编写利用漏洞攻击系统代码。以达到对自己的技术水平的认证。他们没有恶意去攻击系统。在后来的发展过程中，由于人的问题或者处于商业的目的，有些人专门搞一些通过网络对他人的计算机系统进行入侵的行为。这就产生了网络安全的问题。从此可以看出计算机技术虽然经过了很多年的发展，但系统本身总是有漏洞的存在，只能是发现一个漏洞，就采用相应的措施来补救，所谓的补丁。也就是对于计算机没有绝对的安全。只是不断解决安全相关的问题，有的甚至是协议本身就有问题，比如TCP/IP本身就有漏洞的地方，这种漏洞切好被利用了。
计算机网络安全尚是如此，自动化网络也是一样的，不像人们以前所说得，自动化系统是信息的孤岛，不存在网络的安全。因为对于自动化网络的控制设备来说，也是电子产品，产品也是采用某种操作系统。只要有人来研究这个操作系统，那么其肯定有漏洞。而且自动化系统随着网络化，那么随之而来也是安全的问题。但不能因为不安全，我们就不推进自动的发，不推进网络在自动化得发展，毕竟网络化给自动带来了巨大的优势与潜力。我们需要考虑的是在网络化得过程中也应考虑安全的策略（以往是从来没有被注意的）。让我们及获得益处，又能不被安全问题吓到。
其实安全的问题可以类比于我们现实生活的法律，国家由于某种情况出台了法律，但法律是死的，人是活得，有人就钻法律的空子。在一定的条件下次法律适用，但某些条件下，此法律是不适应实际情况的。所以才会有修正法律条文的做法。
嘿嘿，发表了自己的愚见，往前辈们指教！

办公网络中，保密性是第一位的，其次是完整性与可靠性；但对于工业网络来说，可靠性是第一位的、其次才是完整性与保密性。
正是由于两种不同网络的需求是不一样的，所以在安全方面也是有所不同的。对于工业网络，考虑的是始终要保证网络正常运行、工厂正常生产；对于办公网络来说，保密性是最重要的，哪怕网络暂时不可用，但不能认重要的数据丢失或泄露。

正是由于办公网络与工业网络对安全的需求不一样，所以在实施网络安全是它们也是不一样的，决不能简单的把办公网络考虑安全的那一套复制到工业网络中！如果不能简单的复制，那工业网络如何来考虑安全？

杀毒软件跟西门子的工业软件如（WinCC/STEP7）有很多被认为是木马，只能采用放弃杀毒软件或修改注册表，来解决问题，希望未来西门子公司能解决这个问题

如果都采用西门子的设备，可以采用Net SCALANCE S612、613，它有两个RJ45端口，我记得一个端口是连接内部网络，一个是连接外部网络

利用SOFTNET软件，计算机可以安全读取SCALANCE S保护的PLC，原来国内的故障安全采用的是继电器，现在还有很大一部分还是采用这种方式，也有很大一部分采用PROFINET网络中。

西门子官方发布的兼容西门子工业软件的杀毒软件有三种，分别是：
Trend Micro Office Scan
Symantec Endpoint Protection
McAfee VirusScan Enterprise
所以，需要安装杀毒软件的话，只能装上面三种之一。

病毒的种类多种多样，有的病毒是破坏操作系统，如修改系统文件或注册表；有的病毒仅仅是攻击网络系统，如大量的发广播帧，使得网络处于阻塞组态，其它的通讯不能正常进行。影响工厂的正常运行。
病毒的影响是多种多样的。那么有必要了解一样是如何中病毒的，有的工作由于管理上的漏洞，那么一般的操作人员会拿着优盘插入到工厂的监控计算机上进行文件拷贝，这是病毒传入的一种途径，有的则是在工厂的计算机上插入3G的上网卡进行上网，这也是病毒入侵的机会。所以从上面的介绍，要想达到安全，首先工厂应从管理的层面，规定一些安全相关的规范。

所以，工业安全不是只通过技术措施行之有效, 而是需要积极应用到公司的相关单位的持续执行的流程中。

工业安全作为管理的职责需要：
1、高级管理人员全面支持工业安全
2、清晰的定义工厂的工业安全、IT安全和常规安全各自的职责
3、建立一个逻辑组织 / 负责工业安全的相关事情

加强安全意识
1、起草并定期举办关于产品生产安全的主题活动
2、从社会工程角度评估安全

也要从装置的维护着手，如西门子电机定期维护可以使用很久。

是这样的，西门子基于工厂的安全理念也是这样的，确实把工厂安全管理作为安全的第一到关，如下图：



把上面提到的定义为第一级工厂安全，所涉及的内容：
1、相应的措施和流程防止在工厂环境中未被授权用户的访问
2、从物理上分成不同的生产区域，采用不同的访问授权
3、对关键的自动化组件的物理访问保护 (例如：加锁控制柜)
4、对根据物理和工厂的IT安全整理指导手册

在以太网盛行的年代，尽管大多数工厂是个封闭的环境，但是N台PLC/HMI都挂在一个以太网上的情况还是很多的，只要有非法的设备或者外来的设备接入其中，就有可能带来风险

现在所谓的网络安全管理软件、硬件产品也不少，但是个人觉得向用户推广和使用起来需要专业的网络知识，这个挺难！

从简单易行的角度考虑，个人觉得有两点：1是plc加口令写保护，2是采用带管理功能的交换机，合理划分vlan

参加过一次西门子的sinema网络管理软件的介绍，感觉不错啊。

看到熟悉的绿色的以太网线，就回联想到现场总线技术中太网技术的优越性，但另一方面就会想到随之而来的安全问题。PROFIsafe技术，从OSI网络模型上说，相当于 PROFINET 协议上加载的附加层。 由于PROFIsafe 协议可以使在一个安全主控制器和其他安全设备之间的数据传输中的差错率降低到安全标准所规定的范围之内，所以，PROFIsafe 现场总线基于标准网络组件为开放式标准总线PROFINET 实现了安全通讯。

有人说现在PLC的系统也能染病毒，不知道是真是假？

现在PLC确实能感染病毒了，从去年的STUXNET，到今年感染S7-1200的病毒，还有现在的图纸大盗，威胁一直存在。
现在的很多工业现场，范围广，比较分散，管理难度很大。安装杀毒软件，防火墙等措施是必要的，现在西门子的软件和许多国外杀毒软件如小红伞，mse兼容还是没问题的，国内的360之类的优化软件不要乱用。
网络安全如果有能力，上三层交换机吧，通过端口控制来限制外来机器。组建不同的VLAN，管理和生产隔离。

如果通过internet远程访问的项目，类似这样的项目如何去防止信息的泄露呢？